Système d’exploitation Tizen : 40 nouvelles vulnérabilités

Samsung lance de plus en plus d’appareils tournant sous le système d’exploitation Tizen. Lors du SAS 2017, nous avons découvert que ce système d’exploitation est extrêmement dangereux.

Depuis plusieurs années, le plus grand développeur de smartphones, Samsung, promeut massivement le système d’exploitation Tizen. Tout a commencé en 2013, lorsque deux nouvelles caméras Samsung tournant sous le système d’exploitation Tizen ont vu le jour. Plus tard, l’entreprise a lancé des montres intelligentes basées sur Tizen.

En 2015, le système d’exploitation s’est étendu aux smartphones, le premier fut le Samsung Z1, un téléphone relativement bon marché. En 2016, le géant coréen, a mis en place Tizen sur toutes ses télévisions. Finalement, en 2017, lors du Consumer Electronics Show, l’entreprise a présenté une machine à laver, un réfrigérateur, et un aspirateur, tous fonctionnant sous Tizen,

Actuellement, des dizaines de millions d’appareils, dont la vaste majorité sont des télévisions intelligentes, utilisent Tizen. Il semblerait que Samsung va continuer à mettre en place et utiliser le même système d’exploitation sur d’autres appareils électroménagers, par conséquent ce nombre va augmenter considérablement sous peu.

Il est grand temps de se poser la question : Tizen est-il sécurisé ?

Voici la réponse : non. Pas du tout. Lors du Security Analyst Summit 2017, l’expert en sécurité Amihai Neiderman a signalé 40 vulnérabilités zero day, des vulnérabilités inconnues et non corrigées qui sont utilisées pour prendre le contrôle de l’appareil et le pirater. Ce qui est particulièrement dangereux, c’est que cette liste comporte des failles de sécurité sur la boutique et le navigateur de Tizen. La boutique possède les principaux privilèges sur le système, de sorte que la vulnérabilité peut être utilisée pour répandre des malwares sur des appareils tournant sous Tizen.

Comme l’a déclaré Neiderman : « J’ai trouvé 40 bugs différents, la plupart d’entre eux semblaient exploitables. La situation est similaire à celle de 2005 par rapport aux vulnérabilités que j’ai trouvées. Si vous ouvrez un livre sur la recherche des vulnérabilités, ce pourrait être un des premiers exemples que vous verrez. A l’heure actuelle, Tizen n’est pas suffisamment mature, il n’est pas encore prêt à être envoyé à un tel public. Si moi j’ai été capable de trouver des vulnérabilités en quelques heures de recherche, alors quelqu’un qui se dédie vraiment à être un chercheur de Tizen trouvera beaucoup plus de vulnérabilités ».

Conseils